¿Cómo puedo controlar el acceso de los - CA Technologies

RESUMEN DE LA SOLUCIÓN
CA ControlMinder
¿Cómo puedo
controlar el
acceso de los
usuarios con
privilegios en
toda la empresa?
agility
made possible™
CA ControlMinder es una completa solución para la gestión
de identidades con privilegios que permite administrar
contraseñas de usuarios con privilegios, informar sobre
actividades de los usuarios y establecer una exhaustiva
separación de funciones en toda la empresa.
2
CA ControlMinder
resumen ejecutivo
Reto
No es el único que se preocupa de los crecientes retos que plantea la protección de los datos y aplicaciones
confidenciales que residen en los servidores. El valor cada vez mayor de los datos, las normativas que se van
haciendo más estrictas y el gran número de usuarios con privilegios que necesitan acceder a los servidores,
dispositivos y aplicaciones esenciales dificultan aún más la protección de la información confidencial y de la
propiedad intelectual. Entre los retos que supone la gestión de usuarios con privilegios se incluye la gestión del
acceso seguro a los datos fundamentales y de las contraseñas de los usuarios privilegiados.
Este aspecto nos obliga a trabajar muy duro para controlar el acceso de los usuarios con privilegios en entornos
grandes, complejos y diversos. Al mismo tiempo, las organizaciones de TI deben seguir respondiendo a los
requisitos empresariales, que a veces exigen realizar excepciones locales mientras se mantienen la seguridad y el
establecimiento de responsabilidades. Hoy en día, las organizaciones también se enfrentan a los requisitos de
normativas y auditorías cada vez más complicados y estrictos que hay que cumplir.
Se puede confiar en las funciones de seguridad nativas del sistema operativo, pero, de este modo, surgirían
problemas relacionados con la separación de funciones, la capacidad de gestión y las infracciones de
cumplimiento.
Además de la implementación de políticas de seguridad, hay que mantener y gestionar identidades de UNIX®,
lo cual plantea un reto más. UNIX se suele gestionar en contenedores, con lo que los gastos generales y los costes
de administración se ven aumentados.
Oportunidad
Se necesita un único sistema de seguridad centralizado e independiente para proteger los recursos de los
servidores, los dispositivos y las aplicaciones de toda la empresa. Este sistema, debe ofrecer medios flexibles y
responsables que restrinjan las cuentas de superusuario mediante la delegación de los privilegios necesarios a los
administradores autorizados. Por otro lado, este sistema de seguridad debería ser capaz de proporcionar sólidos
controles para gestionar los usuarios con privilegios, centralizar la autenticación y ofrecer una robusta
infraestructura de auditoría y generación de informes.
CA ControlMinder™ funciona en el nivel del sistema para permitir una aplicación eficaz y uniforme en los sistemas,
como Windows, UNIX, Linux y los entornos virtualizados. La avanzada capacidad de gestión de políticas posibilita
la distribución de políticas de seguridad del servidor a dispositivos, servidores y aplicaciones de punto final. Con
ello, se puede controlar a los usuarios con privilegios. Además, se puede realizar de forma segura la auditoría de
cada cambio y aplicación de las políticas para cumplir con las normativas globales. CA ControlMinder ofrece un
planteamiento holístico de la gestión de accesos, ya que incluye funciones clave para proteger y bloquear los
datos y las aplicaciones esenciales, gestionar las identidades con privilegios, centralizar la autenticación de UNIX
con Microsoft® Active Directory (AD) y ofrecer una infraestructura segura de auditoría y generación de informes.
3
CA ControlMinder
Beneficios
CA ControlMinder permite crear, implementar y administrar complejas políticas de control de acceso exhaustivo
para permitir que sólo los usuarios con privilegios autorizados puedan llegar a los datos y aplicaciones con un mayor
grado de confidencialidad. La compatibilidad multiplataforma (incluida la virtual) y la integración con el resto de la
familia de productos de CA Identity y Access Management hacen que CA ControlMinder pueda lograr lo siguiente:
• Regulación y auditorías del acceso a los servidores, dispositivos y aplicaciones esenciales de forma uniforme en
todas las plataformas.
• Gestión de contraseñas de usuarios privilegiados.
• Demostración proactiva del control exhaustivo de los usuarios con privilegios.
• Cumplimiento de los requisitos internos y de normativas mediante la creación y presentación de informes sobre
políticas de acceso a los servidores.
• Reducción de costes administrativos mediante la gestión centralizada de la seguridad en toda la empresa
distribuida a nivel mundial.
• Autenticación de usuarios de UNIX y Linux con privilegios desde un único almacén de usuarios de Active Directory.
• Refuerzo del sistema operativo, para reducir los riesgos externos de seguridad, y mayor fiabilidad del
entorno operativo.
• Integración de configuraciones listas para usar (OOTB) con una infraestructura de auditoría que genera
informes detallados específicos sobre normativas.
Sección 1: reto
Los servidores: fuente de complejidad en los
centros de datos actuales
La gestión de políticas de seguridad en entornos de gran tamaño sigue siendo un reto, sobre todo si tenemos en
cuenta la importancia de poder responder a los requisitos del negocio, que incluye ofrecer la flexibilidad
necesaria para hacer excepciones locales. El centro de datos actual exige una amplia visibilidad de un conjunto
cada vez mayor de recursos de servidores, dispositivos y aplicaciones, al mismo tiempo que debe establecer
responsabilidades de los cambios realizados y proteger los datos confidenciales que residen en él.
La falta de gestión de los usuarios con privilegios ha sido la causa directa de las infracciones de datos
importantes. Mantener la integridad de los datos es una de las tareas más importantes de los profesionales de TI.
Es un grave error pretender adoptar todas estas nuevas tecnologías de flexibilidad y escalabilidad de los centros
de datos sin sopesar los requisitos de protección de datos y seguridad que conllevan.
El control de los reguladores
De acuerdo con la Privacy Rights Clearinghouse, desde el año 2005 más de 340 millones de registros con
información personal confidencial han sufrido infracciones de seguridad en Estados Unidos. Todas estas infracciones
han dado como resultado importantes costes derivados de las multas de cumplimiento, la supervisión del crédito
4
CA ControlMinder
de las víctimas, las nuevas emisiones de tarjetas bancarias y de crédito y la reparación del deterioro de la
reputación de la marca.1 Estas constantes infracciones han provocado que las organizaciones gubernamentales de
todo el mundo exijan mejores prácticas de protección de datos y seguridad de la información. Las normativas, como
ley de responsabilidad y portabilidad del seguro médico (HIPPA), la ley Gram-Leah Billey (GLBA) y la ley SarbanesOxley de EE. UU., la Directiva de la UE sobre privacidad de datos, ISO27001, la ley de documentos electrónicos
y protección de la información personal (PIPEDA) de Canadá y Basilea II se centran en abordar estas cuestiones.
El estándar Payment Card Industry Data Security Standard (PCI DSS) supuso el avance de muchos de estos
marcos regulatorios. El PCI DSS, que especifica 12 requisitos que deben cumplirse para proteger los datos de los
titulares de las tarjetas, ha llevado a las organizaciones de TI a otro nivel más de responsabilidad.
Por otra parte, la ley Sarbanes-Oxley incluye requisitos claros sobre la separación de funciones, con lo que se
asegura que la responsabilidad de los procesos empresariales complejos queda distribuida entre varios recursos.
De esta forma, se puede ofrecer controles y equilibrios en estas funciones.
Está claro que es necesario implementar un perfeccionado sistema de protección de recursos para poder cumplir
con estos requisitos. Además, hay que proporcionar informes y registros de auditoría granulares para justificar los
controles y el estado de las políticas de seguridad y proteger los registros de acceso al servidor de cada auditoría.
Todas estas normas indican que hay que llevar a cabo unos controles exhaustivos y conseguir la uniformidad de
varias plataformas para garantizar la separación de funciones, sobre todo en aquellos entornos con sistemas
operativos mixtos. Asimismo, también se hace necesario contar con la capacidad de investigación en caso de que
se ponga en peligro algún recurso. Todo ello implica la recopilación y consolidación de los datos de auditoría en un
repositorio de registros central.
Por último, como los requisitos normativos son cada vez más estrictos, los informes de cumplimiento constituyen
un aspecto muy importante de cualquier solución de seguridad de servidores. Los informes deben ser precisos,
abordar el requisito específico en cuestión y presentar el resultado de una forma fácil de entender.
Los datos confidenciales están en los servidores
El tipo de adversario al que nos enfrentamos está evolucionando; ya no se puede asumir que los atacantes están
ahí afuera, que son piratas sin nombre ni rostro. Hoy en día, es muy probable que el atacante sea un empleado
descontento, un saboteador o un partner empresarial con una ética y lealtad algo cuestionables. Por tanto, es
necesario proteger los recursos de los servidores tanto de los atacantes externos (que todavía están ahí) como del
personal interno; sobre todo de los usuarios con privilegios que pueden llegar a todos los datos confidenciales de
cada servidor, dispositivo o aplicación al que tienen acceso.
La protección de los servidores y la aplicación de responsabilidades entre estos usuarios con privilegios entrañan
una gran complejidad. Una técnica común que usan los administradores de servidores es compartir cuentas de
usuarios con privilegios y utilizar inicios de sesión genéricos como "administrador" o "raíz". Esta práctica conlleva
varios problemas, por las razones siguientes:
Problemas de auditoría. Compartir las cuentas de usuario impide que los registros de auditoría puedan identificar
realmente los cambios realizados en los servidores y el administrador que los llevó a cabo. De esta manera, no se
puede saber quién es el responsable, algo fundamental para cumplir con los requisitos de las normativas.
Acceso a los datos. Con estas cuentas compartidas se suele otorgar a los usuarios con privilegios acceso a
sistemas y datos esenciales, sobre todo porque es demasiado difícil gestionar una política en miles de servidores
con reglas de acceso granular.
1 Fuente: Privacy Rights Clearinghouse, enero de 2010.
5
CA ControlMinder
La combinación del acceso de los usuarios con privilegios y los descuidos del administrador pueden, por lo
general, afectar a la continuidad del negocio. Mientras tanto, la falta de establecimiento de responsabilidades
hace que sea casi imposible hacer un seguimiento para detectar el administrador que cometió los errores
causantes de los problemas de seguridad y responsabilidad.
La complejidad de la gestión de contraseñas de usuarios con privilegios
Además de mantener la responsabilidad del acceso de los usuarios con privilegios, hay que guardar, cambiar
y distribuir estas contraseñas compartidas de una forma oportuna y segura para cumplir con las políticas de
seguridad corporativas. Muchas aplicaciones utilizan también contraseñas no modificables en scripts de shell
y archivos por lotes, lo que empeora el problema. Estas contraseñas son estáticas y están disponibles para
cualquier persona que tenga acceso al archivo de script, incluso para los intrusos maliciosos.
Mayor carga administrativa en la gestión de identidades de UNIX
Según un informe
de Verizon del año
2010, el 48 % de
las infracciones
de datos las llevó
a cabo personal
interno, lo que
supuso un
aumento del 26 %
con respecto al
año anterior.
Actualmente, el acceso de UNIX se gestiona en contenedores con múltiples almacenes de cuentas distribuidas,
donde los usuarios tienen varias cuentas en diferentes sistemas. Este hecho aumenta los gastos generales y los
costes de administración, así como la complejidad general del entorno, ya que un gran número de aplicaciones
fundamentales se basan en el sistema UNIX para determinar el tiempo de funcionamiento y la disponibilidad.
Desafíos de la virtualización
En este mundo tan diverso todo se basa en la aplicación de políticas uniformes y en la posibilidad de realizar
registros consolidados en los servidores. El importante aumento en el número de servidores y dispositivos que se
gestionan ha agravado todos estos inconvenientes. La expansión de la máquina virtual se traduce en la gestión de
un número mayor de servidores y, como los hipervisores no tienen en cuenta qué sistema operativo actúa como
invitado, el problema de la heterogeneidad se ha visto acrecentado. Sin embargo, se pasa por alto el
mantenimiento de la seguridad de este centro de datos expandido y virtualizado.
La virtualización también crea una nueva clase de usuarios del hipervisor con privilegios que pueden crear,
copiar, mover o gestionar estos sistemas operativos invitados. Este hecho acentúa aún más la necesidad de una
adecuada separación de funciones, que evite que los datos y las aplicaciones que se ejecutan en estos invitados
se pongan en peligro, y de capacidades de auditoría.
Sección 2: oportunidad
Gestión y control de acceso de usuarios con
privilegios en toda la empresa
Desde un punto de vista de gestión, ya es suficiente con el anterior modelo basado en un administrador del
sistema que era responsable de un determinado número de servidores que ejecutaban una aplicación específica.
Los administradores están cada vez más especializados para poder hacer frente a la complejidad inherente de las
aplicaciones más distribuidas y complicadas.
La separación del hardware de los servidores, los sistemas operativos y las aplicaciones que utilizan tecnologías
de virtualización dificultan esta especialización. Hoy en día, un servidor de correo electrónico y una base de datos
se puedes ejecutar en el mismo servidor físico, con lo que se aumenta en gran medida la complejidad del entorno.
6
CA ControlMinder
Por ello, estos administradores deben iniciar sesión de forma segura con contraseñas con privilegios y contar con
diferentes niveles de acceso a las aplicaciones, los sistemas operativos y los hipervisores, así como a dispositivos
como routers.
Ofrecer a todos estos administradores funciones ilimitadas supone grandes riesgos de seguridad. Las cuentas con
privilegios (administrador en Windows o raíz en UNIX) pueden ejecutar cualquier programa, modificar cualquier
archivo o detener cualquier proceso. La incapacidad de limitar estos usuarios con privilegios, de forma que sólo
puedan realizar las tareas correspondientes a sus responsabilidades laborales, y de vincular determinadas
acciones administrativas a una persona en concreto puede provocar lagunas de seguridad y de responsabilidad
e infracciones de los requisitos esenciales de las normativas de seguridad actuales. Los usuarios privilegiados
pueden cometer errores, ya sea por accidente o de forma intencionada. Gracias a una gestión eficaz de los
usuarios con privilegios se consigue lo siguiente:
• Protección, gestión y distribución de las credenciales de los usuarios con privilegios de forma automatizada.
• Inclusión de estos usuarios mediante la delegación de los privilegios necesarios al personal apropiado, sólo
cuando sea necesario.
• Mantenimiento de la responsabilidad de estos usuarios y capacidad de informar sobre sus acciones.
Los administradores pueden desempeñar su trabajo sin exponer los datos confidenciales ni los recursos
esenciales de la empresa. Además, este enfoque proporciona una pista de auditoría y asigna responsabilidades
a los administradores y a sus acciones. Por otra parte, como respuesta a la creciente presión por reducir costes,
las organizaciones de TI están superando las barreras internas de unificación de entornos UNIX y Windows en el
ámbito de la autenticación de usuarios.
CA ControlMinder
CA ControlMinder satisface las políticas internas y las normativas de cumplimiento externas, ya que controla y
gestiona de forma centralizada el acceso de los usuarios con privilegios a un conjunto diverso de servidores,
dispositivos y aplicaciones. Permite la creación, implementación y gestión de complejas y minuciosas políticas de
control de acceso en varias plataformas desde una única consola de gestión. Por ello, CA ControlMinder, supera
los controles básicos disponibles en los sistemas operativos nativos y satisface las necesidades de las normativas
y políticas corporativas más estrictas.
La solución completa se denomina CA ControlMinder y consiste en los siguientes componentes:
• CA ControlMinder Shared Account Management ofrece almacenamiento y acceso seguros a las contraseñas
de los usuarios con privilegios.
• La protección del punto final y el refuerzo de los servidores incluyen los elementos centrales de
CA ControlMinder, que se utilizan para intensificar el sistema operativo y aplicar un control de acceso granular
basado en roles.
• El puente de autenticación de UNIX (UNAB) permite a los usuarios de UNIX y Linux autenticarse mediante las
credenciales de Active Directory.
• La integración con CA User Activity Reporting permite recopilar y consolidar de forma centralizada todos los
registros de auditoría de CA ControlMinder en un repositorio central, que se puede utilizar para la presentación
de informes avanzados, la correlación de eventos y la creación de alertas.
7
CA ControlMinder
CA ControlMinder Shared Account Management
Ilustración A.
> Protección de contraseñas compartidas
> Establecimientos de responsabilidad
de acceso con cuentas compartidas
CA ControlMinder
Shared Account
Management.
Gestión de políticas de
contraseñas de cuentas
compartidas
> Eliminación de contraseñas
de texto claro de scripts
CA ControlMinder
Restablecimiento de contraseña
Validación de contraseña
Extracción de contraseña
Registro de contraseña
Administrador
de TI
Generación de informes sobre
Inicio de sesión
Correlación de la actividad
privilegiada con el usuario
Base de
datos
Servidor Interruptor
Web
del enrutador
Almacenamiento
Interruptor
de la apl. Aplicación
Escritorio Virtualización
Windows
Linux
Unix

La gestión de la contraseña de usuario con privilegios proporciona un acceso seguro a las cuentas con
privilegios y ayuda a establecer la responsabilidad del acceso con privilegios a través de la generación de
contraseñas de forma temporal y basada en la hora o, cuando sea necesario, al tiempo que asigna a los usuarios
la responsabilidad de sus acciones a través de una auditoría segura. Esta función también se conoce como
obtención administrativa.
CA ControlMinder también está diseñado para permitir que las aplicaciones accedan de forma programática a las
contraseñas del sistema y, de esta forma, se eliminan las contraseñas no modificables de scripts, archivos por
lotes o encapsuladores ODBC y JDBC. Esta función se conoce como obtención de la aplicación.
La compatibilidad con Shared Account Management está diseñada para su uso en numerosos servidores,
aplicaciones (incluidas las bases de datos) y dispositivos de entornos físicos o virtuales.
Características de CA ControlMinder Shared Account Management
• Almacenamiento seguro de contraseñas compartidas. Shared Account Management almacena las
contraseñas de las aplicaciones y los sistemas más importantes en un almacén de datos seguro y protegido.
Los usuarios que necesitan acceder a estas contraseñas confidenciales pueden obtener y registrar estas
contraseñas mediante una interfaz de usuario Web intuitiva y fácil de usar. Shared Account Management
hace cumplir las políticas de acceso privilegiado que determinan los usuarios que pueden utilizar las
cuentas compartidas.
• Política de contraseñas de cuentas compartidas. Cada una de las contraseñas gestionadas a través de
Shared Account Management puede tener asociada una política de contraseñas que define su exclusividad.
De este modo, se asegura que las contraseñas generadas por Shared Account Management se aceptan en el
sistema, la aplicación o la base de datos del punto final. Las políticas de contraseña también determinan un
intervalo en el cual Password Vault crea automáticamente una nueva contraseña para la cuenta.
• Detección automática de la cuenta. Shared Account Management detecta automáticamente todas las
cuentas en un punto final gestionado, que se conecta al servidor Shared Account Management Enterprise
Management. A continuación, el administrador de Shared Account Management puede decidir qué cuentas
se utilizarán. A estas cuentas se les asigna un "rol de acceso privilegiado", que se puede conceder a usuarios
finales como parte de la política de Shared Account Management.
8
CA ControlMinder
• Arquitectura sin agentes. CA ControlMinder Shared Account Management ofrece una arquitectura basada en
servidor que proporciona una implementación que conlleva un esfuerzo y unos riesgos mínimos. No se necesitan
agentes en los puntos finales gestionados de CA ControlMinder Shared Account Management. Todas las
conexiones se controlan desde el servidor Shared Account Management Enterprise Management mediante el
uso de funciones nativas. Por ejemplo, las bases de datos utilizan JDBC, UNIX y Linux usa SSH. Por otro lado,
Windows utiliza WMI.
• Integración con sistemas de generación de tickets y asistencia técnica. La integración con CA Service Desk
Manager permite añadir un ticket de asistencia técnica tanto en la solicitud como en tareas de emergencia,
validar el ticket de asistencia técnica y utilizar un aprobador que pueda ver el ticket para obtener más
información.
• Generación de informes y auditoría de acceso privilegiado. Todo el acceso privilegiado se audita y registra
en CA ControlMinder Shared Account Management. CA User Activity Reporting ofrece mejores funciones de
correlación y creación de registros, incluida la habilidad de correlacionar los registros nativos generados
en sistemas, aplicaciones o bases de datos con los registros de Shared Account Management. Además, si
CA ControlMinder se instala en los puntos finales del servidor (UNIX, Linux y Windows), se puede hacer un
seguimiento de la actividad de todos los usuarios con privilegios y realizar una auditoría de la misma.
Estos registros se pueden centralizar también en CA User Activity Reporting y correlacionarse con los eventos
de obtención generados por Shared Account Management.
• Restauración y reversión de contraseñas. En caso de que se produzca un fallo en el punto final de
CA ControlMinder Shared Account Management, éste se restaurará a partir de una copia de seguridad que
puede no estar actualizada. En este caso, las contraseñas guardadas en Shared Account Management no
coincidirán con las contraseñas restauradas en el punto final. El servidor Shared Account Management
Enterprise Management muestra una lista de las contraseñas utilizadas anteriormente y tiene la opción de
volver a restaurar el punto final a la configuración de Shared Account Management.
Obtención administrativa de Shared Account Management
• Responsabilidad de acceso con cuentas compartidas. CA ControlMinder Shared Account Management cuenta
con una función de "obtención exclusiva" que sólo permite que un individuo específico obtenga una cuenta en
un momento dado. Asimismo, Shared Account Management puede realizar un seguimiento de las acciones del
usuario original mediante la correlación de los eventos de acceso a los sistemas con el evento de obtención
generado por CA ControlMinder Shared Account Management.
• Inicio de sesión automático de Shared Account Management. Esta característica está diseñada para agilizar
y proteger el proceso, pues permite que un usuario solicite una contraseña y la utilice con un único clic con el
que podrá iniciar sesión automáticamente en el sistema de destino como usuario privilegiado. Y todo ello, sin ver
la contraseña real. Así se evita el robo de contraseñas "por encima del hombro" y se acelera el proceso para el
solicitante de la contraseña.
• Integración avanzada de Shared Account Management con CA ControlMinder. La integración avanzada de
Shared Account Management y CA ControlMinder permite integrar los puntos finales de CA ControlMinder con
Shared Account Management para realizar un seguimiento de las actividades de los usuarios que utilizan
cuentas privilegiadas. Esta característica sólo se admite si se utiliza junto con la función de inicio de sesión
automático de Shared Account Management, descrita anteriormente, y permite especificar que un usuario debe
obtener una cuenta con privilegios a través del servidor Enterprise Management antes de que se conecte a un
punto final de CA ControlMinder.
9
CA ControlMinder
• Grabación y reproducción de la sesión con privilegios. Gracias a la integración con software de terceros de
CA ControlMinder Shared Account Management, ahora está disponible la grabación y reproducción de una sesión
con privilegios. Esta característica facilita las auditorías mediante una funcionalidad de tipo DVR que graba y
reproduce las sesiones de los usuarios con privilegios.
• Funciones completas del flujo de trabajo. CA ControlMinder Shared Account Management ofrece completas
funciones de control doble del flujo de trabajo para ofrecer un acceso normal y de emergencia a las cuentas con
privilegios. El flujo de trabajo se puede habilitar opcionalmente para determinados usuarios finales o
determinadas cuentas privilegiadas.
• Acceso de emergencia. Los usuarios realizan una "obtención de emergencia" cuando necesitan acceder de
inmediato a una cuenta para la que no tienen autorización. Las cuentas de emergencia son las cuentas
privilegiadas que no están asignadas al usuario en función de su rol normal. No obstante, cuando se necesario,
el usuario puede obtener la contraseña de la cuenta sin realizar ninguna acción y sin ningún retraso. En un
proceso de obtención de emergencia, se envía un mensaje de notificación al administrador. Sin embargo, el
administrador no puede aprobar ni detener el proceso.
Obtención de la aplicación de Shared Account Management
• Shared Account Management, aplicación a aplicación. CA ControlMinder Shared Account Management
automatiza la gestión de contraseñas de cuentas de servicio que se llevaría a cabo de forma manual (servicios
de Windows), gestiona las contraseñas utilizadas en las tareas planificadas de Windows que requieren el inicio
de sesión en el sistema (tareas programadas de Windows) y se integra con el mecanismo de ejecutar como de
Windows para recuperar de Shared Account Management la contraseña del usuario con privilegios
correspondiente.
• Shared Account Management, aplicación a base de datos. CA ControlMinder Shared Account Management
también puede restablecer automáticamente las contraseñas de identificación de las aplicaciones. Shared
Account Management puede gestionar las cuentas de servicio utilizadas por el servidor de aplicaciones IIS o
J2EE y las aplicaciones alojadas en ellos; para ello, intercepta las conexiones ODBC y JDBC y las sustituye por las
credenciales actuales de las cuentas privilegiadas. En la mayoría de los casos, CA ControlMinder Shared Account
Management ofrece esta funcionalidad sin necesidad de realizar cambios en las aplicaciones. Para esta
funcionalidad hay que instalar el agente de Shared Account Management en el punto final donde se ejecuta la
aplicación o en el servidor J2EE, en caso de una aplicación Web.
• Obtención programática de scripts de shell archivos por lotes. Se puede utilizar el agente de Shared Account
Management dentro de un script para sustituir las contraseñas no modificables por contraseñas que se pueden
extraer de CA ControlMinder Shared Account Management Enterprise Management. Así, se evita el tener que
incluir las contraseñas no modificables dentro de los scripts.
Si desea obtener más información y más detalles técnicos sobre Shared Account Management, consulte el
informe técnico de CA ControlMinder Shared Account Management.
10
CA ControlMinder
Protección del punto final y refuerzo de los
servidores con CA ControlMinder
Ilustración B.
CA ControlMinder ofrece
aplicación de políticas
de seguridad basadas
en roles.
ControlMinder
CA

Los elementos
centrales de CA ControlMinder son los agentes seguros y reforzados que se integran de forma
nativa con el sistema operativo, para aplicar y auditar las políticas granulares necesarias para cumplir con los
requisitos de cumplimiento. Los agentes de punto final están disponibles para los principales sistemas operativos,
como las versiones más conocidas de Linux, UNIX y Windows. En el sitio Web de soporte de CA se puede encontrar
la lista con los sistemas compatibles más actualizada.
CA ControlMinder ofrece formatos de paquetes nativos para la instalación y gestión de CA ControlMinder de forma
nativa en los sistemas operativos compatibles. Así se facilita la creación de un entorno empresarial global donde
se puedan implementar rápidamente un gran número de servidores gestionados.
Además, CA ControlMinder dispone de una interfaz basada en Web uniforme e intuitiva para la gestión de las
políticas, las aplicaciones y los dispositivos de punto final. CA ControlMinder es compatible de forma nativa con la
mayoría de las plataformas de virtualización, como VMware ESX, Solaris 10 Zones y LDOMs, Microsoft Hyper-V,
IBM VIO y AIX LPAR, HP-UX VPAR, Linux Xen y Mainframe x/VM. De este modo, se protege tanto la capa del
hipervisor como los sistemas operativos invitados que se ejecutan en ella.
En los entornos empresariales, ya es una práctica habitual utilizar un directorio para la gestión de usuarios y un
directorio habilitado para la implementación de las aplicaciones. CA ControlMinder admite almacenes de usuarios
corporativos, es decir, almacenes de usuarios y grupos nativos del sistema operativo. Gracias a esta integración es
posible definir reglas de acceso para los usuarios y grupos corporativos sin tener que sincronizar ni importar
dichos usuarios y grupos a la base de datos de CA ControlMinder.
11
CA ControlMinder
Protección de servidores en varias plataformas
Muchas organizaciones implementan una infraestructura de varios servidores, que incluye sistemas de Windows,
Linux y UNIX. CA ControlMinder permite gestionar y aplicar de una forma uniforme e integrada las políticas de
seguridad de acceso en todos estos entornos. La arquitectura avanzada de políticas proporciona una única
interfaz, a través del cual se pueden administrar políticas y distribuirlas a suscriptores de Windows y UNIX al
mismo tiempo. La gestión consolidada de los servidores de Linux, UNIX y Windows alivia la carga administrativa
necesario y mejora la eficiencia del administrador del sistema, con lo que se consiguen ahorros en los costes
de gestión.
Control de acceso exhaustivo
CA ControlMinder es una solución de aplicación de seguridad independiente; esto quiere decir que no se basa en el
sistema operativo subyacente para hacer cumplir las políticas de control de acceso de servidores. Al operar a nivel
del sistema, CA ControlMinder supervisa y regula todo el acceso a los recursos del sistema, incluso a aquellos
procedentes de administradores de dominios o del sistema local. Esta capacidad de control exhaustivo del acceso
sirve para regular, delegar y restringir los administradores de dominios o cualquier otra cuenta del entorno de TI y
para proporcionar los siguientes aspectos:
• Control de suplantación. CA ControlMinder controla las capacidades de delegación de los usuarios subrogados,
para reducir la exposición de los usuarios no autorizados que ejecutan aplicaciones con mayores privilegios,
y logra establecer responsabilidades sobre las actividades con cuentas compartidas. Por ejemplo, un
administrador podría asumir el perfil de identidad de otra persona para cambiar los atributos de una la lista de
control de acceso (ACL) de un archivo sin ningún tipo de responsabilidad sobre sus acciones. CA ControlMinder
ofrece protección en varios niveles. Para ello, en primer lugar, limita aquellos usuarios que utilizan la función de
ejecutar como y el comando "su" de UNIX y, a continuación, conserva el ID de usuario original incluso después
de que las acciones subrogadas se hayan llevado a cabo. De este modo, garantiza que los registros de acceso
de los usuarios de los registros de auditoría muestren la cuenta original. Así se permite a los usuarios iniciar
sesión con su propio ID y cambiar de forma segura su perfil a una cuenta con privilegios, sin que se dejen de
asumir responsabilidades.
• Limitación del superusuario (administrador/raíz). La cuenta raíz es una fuente importante de vulnerabilidad,
ya que permite a las aplicaciones o a los usuarios asumir un nivel de privilegios más poderoso del que pueden
necesitar. CA ControlMinder inspecciona todas las solicitudes de entrada pertinentes en el nivel del sistema y
lleva a cabo la autorización en función de reglas y políticas definidas. Ni siquiera la privilegiada cuenta raíz
puede pasar por alto este nivel de control. Por tanto, todos los usuarios privilegiados se convierten en usuarios
gestionados y son responsables de sus actividades en el sistema.
• Control de acceso basado en roles. Las prácticas recomendadas establecen que cada administrador cuenta con
privilegios suficientes para desempeñar únicamente sus tareas, y ninguna más. Gracias a un entorno de control
de accesos basado en roles, los administradores no pueden compartir una contraseña de administrador y ni
aprovechar las ventajas de los privilegios asociados a ésta. De forma predeterminada, CA ControlMinder ofrece
los conocidos roles administrativos y de auditoría, que se pueden personalizar y ampliar para satisfacer las
necesidades de la organización de TI.
• Aplicación minuciosa. Los sistemas operativos nativos (Linux, UNIX y Windows) ofrecen funciones limitadas
para delegar de forma granular y eficaz determinados derechos de administración los sistemas a cuentas de
usuarios con menos poder. CA ControlMinder proporciona una aplicación minuciosa y regula el acceso en función
de varios criterios, como los atributos de red, la hora del día, el calendario o los programas de acceso. Entre las
funciones se incluyen las siguientes:
12
CA ControlMinder
–– Más controles granulares. Los controles ofrecen privilegios específicos para archivos, servicios y otras
funciones del nivel del SO (cambiar el nombre, copiar, detener, iniciar), que se pueden asignar a un
administrador o a un grupo de administración determinado.
–– Distintos niveles de aplicación. Las organizaciones suelen utilizar el modo de advertencia de
CA ControlMinder para determinar si las políticas de seguridad propuestas son demasiado estrictas o
indulgentes y poder modificarlas como corresponda. Asimismo, CA ControlMinder ofrece la habilidad de
validar al instante los efectos de una política de seguridad sin aplicar las restricciones a través del ajuste
del modo de validación.
–– Listas de control de acceso mejoradas. CA ControlMinder ofrece varias funciones mejoradas de listas de
control de acceso para aumentar la capacidad de los administradores de seguridad de asignar
apropiadamente derechos de acceso a usuarios autorizados, incluidas las listas de control de acceso de
programa (PACL) que sólo permiten el acceso de los recursos desde un programa o binario en concreto.
–– Control de acceso basado en red. Los abiertos entornos actuales exigen un sólido control del acceso de los
usuarios y de la información que fluye por la red. El control de acceso basado en red agrega otra capa de
protección para regular el acceso a la red. CA ControlMinder puede gestionar el acceso a los puertos de red
o programas de acceso a redes y las políticas de seguridad de redes pueden gestionar el acceso bidireccional
mediante el ID del terminal, el nombre del host, la dirección de red, los segmentos u otros atributos.
–– Control de inicio de sesión. CA ControlMinder puede mejorar la seguridad al limitar el inicio de sesión de los
usuarios gracias a la dirección IP de origen, el ID del terminal, el tipo de programa de inicio de sesión o la
hora del día. Por otro lado, CA ControlMinder también puede restringir las sesiones de inicio de sesión
simultáneo de un usuario para aplicar un acceso más estricto de los usuarios al servidor. Es posible
suspender automáticamente a los usuarios después de varios intentos de inicio de sesión fallidos, con lo que
se protegen los sistemas frente a los atacantes de "fuerza bruta". Además, CA ControlMinder ofrece
suspensión y revocación seguras de cuentas de usuarios en entornos distribuidos.
Gestión y control de acceso a entornos virtuales
La virtualización consolida varias instancias de servidores en una única máquina física, con lo que se consigue un
coste total de propiedad más bajo y una mejor utilización de la máquina. Desafortunadamente, la virtualización
también crea una nueva clase de usuarios del hipervisor con privilegios, que pueden crear, copiar, mover o
gestionar estos sistemas operativos invitados. Este hecho acentúa aún más la necesidad de una adecuada
separación de funciones y de una protección consolidada de los servidores que permita auditar y proteger los
datos y las aplicaciones que se ejecutan en estos invitados.
Con CA ControlMinder, es posible controlar estos administradores del hipervisor e implementar una separación de
funciones adecuada.
Esta función ofrece una capa esencial de protección para mitigar los riesgos derivados de la virtualización. Los
agentes de punto final son compatibles con una amplia lista de versiones de SO que se ejecutan como invitados,
así como con host de virtualización de los principales SO como VMware ESX, Solaris 10 Zones and LDOMs,
Microsoft Hyper-V, IBM VIO y AIX LPAR, HP-UX VPAR, Linux Xen y Mainframe x/VM.
Refuerzo del sistema operativo
La protección del SO contra el acceso externo no autorizado constituye una capa esencial de una profunda
estrategia de defensa. CA ControlMinder ofrece varias medidas externas de seguridad para agregar una capa más
de seguridad a los servidores.
13
CA ControlMinder
• Controles de archivos y directorios. Los archivos y directorios constituyen la espina dorsal de los sistemas
operativos y cualquier exposición puede conllevar la denegación de servicio y tiempos de inactividad
inesperados. CA ControlMinder ofrece potentes opciones de acceso de programas y de carácter comodín que
simplifican la gestión de políticas al nivel del archivo. CA ControlMinder puede aplicar el control de cambios en
sistemas de directorios y archivos fundamentales, con lo que se aumenta la integridad y confidencialidad de los
datos. La protección a nivel de archivos está disponible para todos los tipos de archivos, como archivos de texto,
directorios, archivos de programa, archivos de dispositivos, vínculos simbólicos, archivos montados en NFS y
archivos compartidos de Windows.
• Ejecución de programas de confianza. Para evitar que el software maligno, sobre todo los troyanos,
contaminen el entorno operativo, CA ControlMinder ofrece protección de primera línea para los programas de
confianza. Los recursos confidenciales se pueden marcar como de confianza; de este modo, estos archivos y
programas se supervisarán y CA ControlMinder bloqueará la ejecución en caso de que un software maligno
modifique el programa. Los cambios de los recursos de confianza se pueden limitar a usuarios o grupos de
usuarios específicos para reducir aún más la posibilidad de un cambio imprevisto.
• Protección del registro de Windows. El registro de Windows es un destino claro de los piratas y los
usuarios malintencionados, porque la base de datos centralizada contiene parámetros del sistema operativo,
incluidos aquellos que controlan los controladores de dispositivos, los detalles de configuración y los ajustes
de seguridad, del entorno y del hardware. CA ControlMinder ofrece protección de registros, ya que admite
reglas que pueden impedir que los administradores cambien o manipulen los ajustes de los registros.
CA ControlMinder puede proteger las claves de registro e impedir que se eliminen y que los valores
correspondientes se modifiquen.
• Protección de servicios de Windows. CA ControlMinder proporciona protección mejorada para limitar los
administradores autorizados que pueden iniciar, modificar o detener servicios de Windows esenciales. De este
modo, protege contra la denegación de servicios de aplicaciones de producción, como bases de datos, Web,
archivos o impresión, que se controlan como servicios en Windows. Resulta esencial proteger estos servicios
del acceso no autorizado.
• Captura por parte de la aplicación. CA ControlMinder permite definir las acciones que se puedan aceptar para
las aplicaciones de alto riesgo. Cualquier comportamiento que supere estas limitaciones quedará bloqueado por
una función de captura de la aplicación. Por ejemplo, se puede crear una lista de control de acceso basada en un
ID que gestione procesos y servicios de Oracle, de forma que la función de captura impida que realice acciones
diferentes al inicio de servicios de Oracle DBMS.
Registrador de teclas (KBL) de UNIX/Linux
CA ControlMinder puede restringir las acciones normales y confidenciales de usuarios e incluso puede realizar el
seguimiento de las sesiones de los usuarios que se seleccionen, pero ¿qué sucede si se desea grabar todo lo que
se hace en una sesión de usuario confidencial? La función de registrador de teclas de CA ControlMinder le ofrece
esa opción. El KBL se encuentra entre la shell y el terminal o el teclado y registra todo lo que se escribe con el
teclado (entrada) y lo que aparece en el terminal (salida).
El KBL se habilita fácilmente; sólo hay que cambiar el modo de auditoría del administrador/usuario del que se
desea registrar la actividad del teclado.
14
CA ControlMinder
Ilustración C.
Selección de modo
interactiva del registrador
de teclas de UNIX/Linux en
CA ControlMinder Endpoint
Management.

Funciones del KBL
• Reproducción de la sesión (modo local sólo en el punto final de CA ControlMinder)
• Impresión del resultado de la sesión o de los datos introducidos durante ésta
• Impresión de los comandos de la sesión
• Correlación con el seguimiento del usuario de CA ControlMinder
• Almacén central con informes de CA User Activity Reporting
Ilustración D
Resultado de la sesión
del registrador de teclas
de CA ControlMinder.

Los informes de KBL ya están disponibles en CA User Activity Reporting con vistas detalladas que muestran
todos los comandos introducidos en el símbolo del sistema y el resultado obtenido.
15
CA ControlMinder
Ilustración E
Informe de muestra del
registrador de teclas
disponible a través de
CA User Activity
Reporting.

Identidades de UNIX gestionadas desde Active
Directory: UNAB
La función de agente de autenticación de Unix (UNAB) de CA ControlMinder permite gestionar los usuarios de
UNIX desde Microsoft AD. De este modo, se posibilita la consolidación de información sobre autenticación y la
cuenta en AD, en lugar de gestionar las credenciales de UNIX de forma local en cada servidor.
Funciones de UNAB
Autenticación de UNIX gestionada de forma central. UNAB simplifica la gestión de los usuarios locales de
UNIX, mediante la validación de las credenciales de autenticación en AD. No es necesario definir los usuarios y los
grupos en NIS ni de forma local en el archivo /etc/passwd. Los atributos de usuarios, como el directorio principal,
la shell, el ID de usuario, GECOS y las políticas de contraseñas, se recuperan de AD.
Módulo PAM ligero. UNAB ofrece un módulo PAM compacto y ligero en UNIX, que se agrega a la pila PAM del
punto final.
Empaquetado nativo. UNAB ofrece empaquetado nativo para facilitar la instalación y la implementación.
Integración con el registro de eventos nativo de Windows. Todos los registros de UNAB se envían a los registros
de eventos nativos de Windows. De este modo se consolida y simplifica la auditoría y también se permite la
integración con herramientas de SIM (Security Information Management, gestión de información de seguridad).
Modos de funcionamiento flexibles. UNAB se puede configurar para que funcione en un modo de integración
completa o parcial, con lo que se facilita el proceso de migración.
• Modo de integración parcial. En este modo, la contraseña del usuario se almacena en AD. En el momento
de autenticación, sólo se lleva a cabo la validación de contraseñas en AD. Los atributos de usuarios, como el
ID del usuario, el directorio principal y el grupo principal se recuperan del host de UNIX local o de NIS, y no
de AD. Cuando se añade un nuevo usuario a la organización, un administrador puede crear el usuario tanto en
AD como en el archivo local /etc/passwd o en NIS. No es necesario realizar cambios en el esquema de AD
para que UNAB funcione en el modo de integración parcial.
16
CA ControlMinder
• Modo de integración completa. En este modo, la información del usuario sólo se almacena en AD. No hay
ninguna entrada del usuario en el archivo local/etc/passwd ni en NIS. Los atributos de usuarios, como el ID
del usuario, el directorio principal y el grupo principal se almacenan en AD y no en el host de UNIX local ni en
NIS. Cuando se añade un nuevo usuario a la organización, un administrador crea el usuario sólo en AD y
proporciona los atributos de UNIX necesarios. Para el modo de integración completa, se requiere Windows
2003 R2, que es compatible con los atributos de UNIX.
Asignación de atributos LDAP dinámicos. En caso de que la organización no admita Windows 2003 R2,
necesario para el modo de integración completa, UNAB ofrece una función que permite asignar de forma dinámica
atributos de UNIX a atributos de AD no estándar. De este modo, se evita la complejidad de tener que ampliar o
cambiar el esquema de AD.
Funciones mejoradas de almacenamiento en caché y soporte sin conexión. UNAB almacena en la memoria
caché todos los inicios de sesión satisfactorios en su base de datos local SQLite. La información almacenada en la
memoria caché incluye el nombre del usuario, los atributos de usuarios, la pertenencia a un grupo y el valor hash
de la contraseña. En caso de que UNAB no se pueda conectar a AD, intentará validar las credenciales del usuario
en la memoria caché local. Esta función se conoce como "inicio de sesión sin conexión". Los registros de los
usuarios se conservarán en la memoria caché local durante un número de días que se puede configurar. Los
usuarios locales, como "raíz" y otras cuentas del sistema y de las aplicaciones pueden iniciar sesión,
independientemente de la conectividad de AD.
Inicio de sesión único de UNAB. Es posible realizar el inicio de sesión único entre todos los host de UNAB con
Kerberos en el entorno. Si se inicia sesión en un host de UNAB con Kerberos, se puede iniciar sesión
automáticamente en cualquier otro host de UNAB con las credenciales de Kerberos, que ofrecen un tipo de
solución de inicio de sesión único dentro del entorno.
Políticas de inicio de sesión centralizadas. Cuando UNAB está activado en un punto final de UNIX, las políticas
de inicio de sesión centrales controlan qué usuarios pueden iniciar sesión en qué host de UNIX o grupos de host de
UNIX. Estas políticas de inicio de sesión se gestionan y distribuyen con la interfaz de usuario de CA ControlMinder
Enterprise Management y se almacenan de forma local en cada punto final de la base de datos SQLite. Se pueden
aplicar políticas de inicio de sesión a un único host de UNIX o a un grupo de equipos de servidores. Las reglas de
especificación se pueden basar en los usuarios y grupos de AD, con lo que se reduce la sobrecarga administrativa.
Ilustración F.
Agente de autenticación
de UNIX.

17
CA ControlMinder
Generación de informes y auditoría de usuarios con
acceso privilegiado con CA User Activity Reporting
Cumplimiento quiere decir que se cuentan con las políticas adecuadas y que dichas políticas están
implementadas; pero sobre todo, significa que se pueden ofrecer pruebas de la conformidad con las políticas
corporativas y las normativas reguladores, al mismo tiempo que se asumen las responsabilidades de cualquier
desviación de dichas políticas.
Para demostrar el cumplimiento, las soluciones de protección de recursos del servidor deben poder generar
informes que justifiquen las políticas de contraseñas, los niveles de derechos y la separación de funciones.
CA ControlMinder incluye una licencia de CA User Activity Reporting que permite ver el estado de seguridad de los
usuarios, los grupos y los recursos. Para ello, se recopilan los datos de cada punto final de la empresa, se agregan
a una ubicación central, los resultados se analizan con la política corporativa y, por último, se genera un informe.
Esta licencia de CA User Activity Reporting se limita a la recopilación y generación de informes de los eventos de
CA ControlMinder; si se desea contar con funciones de generación de informes más amplia, habrá que adquirir la
licencia de User Activity Reporting Module.
El servicio de generación de informes funciona independientemente para recopilar las políticas en cada punto
final de forma planificada. El sistema incorpora flexibilidad, ya que se informa del estado del punto final sin
necesidad de realizar ninguna acción manual e independientemente de que el servidor de recopilación esté o no
activo. Por otro lado, los componentes del servicio de generación de informes son elementos externos del sistema
de aplicación de CA ControlMinder y no necesitan interrumpir las funciones de aplicación del punto final durante
la reconfiguración ni personalización de los informes.
El servicio de generación de informes está estructurado para permitir la generación de informes del estado de las
políticas que se aplican en cada punto final. Se pueden crear informes personalizados para varios fines o utilizar
los más de 60 informes existentes que CA ControlMinder ofrece listos para usar.
Informes de derechos y cumplimiento de políticas
Ya no basta con producir informes basados en eventos sobre las acciones ocurridas en el pasado para demostrar
el cumplimiento. En la actualidad, para conseguir el cumplimiento se necesitan también informes proactivos que
muestren el estado de la política en cualquier momento del tiempo. Para ayudar a ello, CA ControlMinder ofrece
funciones de generación de informes proactiva sobre los privilegios de acceso de los usuarios y pruebas de los
controles de acceso existentes.
Como parte de la instalación predeterminada del producto, el servicio de generación de informes de
CA ControlMinder incluye más de 60 informes estándar listos para usar que detallan información sobre los
derechos y el estado actual de las políticas, así como la desviación de éstas. Ofrecen un valor inmediato, ya que
complementan las auditorías existentes basadas en eventos para supervisar los requisitos de cumplimiento y
señalar las discrepancias existentes. Los informes estándar incluyen los siguientes aspectos:
Los informes de gestión de políticas permiten ver el estado de la implementación de las políticas y las
desviaciones de las políticas estándar.
Los informes de derechos permiten ver los derechos que los usuarios y los grupos tienen sobre los recursos del
sistema o mostrar quién puede acceder a unos recursos específicos. Un uso habitual sería ver quién tiene acceso
raíz a los sistemas.
Los informes de gestión de usuarios ofrecen la capacidad de ver cuentas inactivas, usuarios, pertenencias a
grupos y cuentas administrativas, así como gestionar la separación de funciones.
18
CA ControlMinder
Los informes de gestión de contraseñas ofrecen información sobre la antigüedad de las contraseñas,
el cumplimiento de las políticas de contraseñas, etc.
Los informes de acceso de usuarios privilegiados detallan información sobre toda la actividad de los usuarios
con privilegios, incluidos el registro, la obtención, las aprobaciones de flujos de trabajo y otras acciones.
Ilustración G.
Los informes de
CA ControlMinder
Shared Account
Management
muestran las cuentas
privilegiadas por tipo
de punto final.

Los informes de autenticación de UNIX ofrecen todos los datos de derechos e informes relacionados con el
componente UNAB de CA ControlMinder.
Ilustración H.
Informe de UNAB
detallado que muestra
los usuarios de AD
globales con
atributos UNIX.

El asistente de detección de usuarios con privilegios (asistente completado por el usuario) buscará los
usuarios privilegiados en toda la organización y generará automáticamente un informe.
19
CA ControlMinder
La generación de informes sobre políticas abiertas de CA ControlMinder se basa en un estándar de sistema de
gestión de bases de datos relacionales (RDBMS). La interoperabilidad con los sistemas externos permite a los
administradores ejecutar informes de políticas mediante la herramienta de informes que elija y personalizar las
presentaciones de los informes para satisfacer los estándares internos o las peticiones del auditor.
Tarjeta de implementación de políticas
Ilustración I.
Informe de muestra que
indica una instantánea
de un punto en el tiempo
de los host que cumplen
con una política
específica.

CA ControlMinder Enterprise Management
Dada la complejidad y escalabilidad que necesitan los recursos de los servidores actuales, resulta esencial poder
implementar y aplicar una política centralizada que controle el acceso en toda la empresa y, al mismo tiempo,
se ajuste a las excepciones locales y necesidades empresariales. CA ControlMinder cuenta con varias funciones
sofisticadas que facilitan y agilizan la gestión del acceso y permiten realizar excepciones de una forma visible
y responsable.
Agrupación en equipos
Los puntos finales se pueden agrupar en equipos y, a continuación, es posible asignar políticas basadas en esta
pertenencia al grupo de equipos, independientemente de cómo estén organizados físicamente los puntos finales.
Los host pueden ser miembros de varios grupos de equipos, en función de sus propiedades y exigencias de
políticas. Por ejemplo, si cuenta con host que ejecutan un sistema operativo de Red Hat y Oracle, éstos pueden
ser miembros de un grupo de equipos de Red Hat, para que tengan las políticas de control de acceso de línea de
referencia de Red Hat, y también, miembros del grupo de equipos de Oracle, para que cuenten con las políticas de
control de acceso de Oracle.
Los grupos de equipos se pueden utilizar en los componentes Shared Account Management y UNAB de
CA ControlMinder. En Shared Account Management, los grupos de equipos, como los servidores de bases de
datos, pueden tener una política común que permita el acceso a las cuentas privilegiadas de dichos servidores.
En UNAB, se puede aplicar un conjunto de políticas comunes de inicio de sesión a un grupo de equipos que
permita a los usuarios iniciar sesión de forma selectiva en función de sus credenciales de Active Directory.
20
CA ControlMinder
Grupos de host lógicos
Ilustración J.
El administrador de
seguridad puede definir
grupos de equipos,
asignarles políticas y
tener visibilidad total del
cumplimiento de las
políticas por parte
de los host.

Control de versión de políticas
CA ControlMinder le permite realizar un seguimiento de los cambios en las políticas, ya que representa cada
política como una única entidad con varias versiones. Cuando se crea una nueva versión de una política, la última
versión permanece guardada e incluye información sobre las reglas de implementación y de no implementación
de la versión de la política, el creador de la política (para poder utilizarlo en auditorías y establecer
responsabilidades) y de cuándo se creó. Además, gracias a un proceso de actualización es posible actualizar la
implementación de la política en todos los host asignados a la última versión de la política.
Interfaz de usuario Web común de Enterprise Management
La interfaz basada en Web de Enterprise Management es sencilla, intuitiva y permite llevar a cabo una gestión
más avanzada de las políticas, al mismo tiempo que ofrece una visión integrada de todo el entorno de servidores
de CA ControlMinder. Además, la interfaz basada en Web ayuda a gestionar los puntos finales individuales o los
modelos de políticas y permite llevar a cabo las siguientes acciones:
• Creación de host.
• Asignación de host a grupos de host.
• Creación y actualización de políticas.
• Asignación y eliminación de políticas a host o grupos de host.
• Implementación y eliminación directa de políticas de host o grupos de host.
• Actualización de políticas asignadas a su última versión.
• Implementación de políticas de auditoría en la empresa.
• Exploración de la empresa por host, grupo de host o políticas.
• Gestión discreta de puntos finales de CA ControlMinder mediante la gestión de punto final.
• Detección de cuentas de usuarios privilegiados en puntos finales gestionados de Shared Account Management.
• Gestión de contraseñas de usuarios privilegiados en puntos finales gestionados de Shared Account Management.
• Creación y gestión de políticas de inicio de sesión que controlan el acceso a puntos finales de UNAB.
21
CA ControlMinder
La interfaz de usuario es uniforme en todos los servicios de CA Identity and Access Management, ya que utiliza el
marco común de CA Technologies en cuanto a apariencia, especificación administrativa y delegación de tareas.
Consola CA ControlMinder Enterprise Management
Ilustración K.
La vista mundial de
Enterprise Management
ofrece una vista del
entorno desde una
perspectiva del punto
final, una perspectiva del
grupo de host o una
perspectiva de las
políticas. De este modo,
podrá descender por la
jerarquía hasta la gestión
del punto final si es
necesario.

Integración con directorios de LDAP empresariales
CA ControlMinder Enterprise Management puede emplear Microsoft Active Directory y LDAP de Sun-One como
almacenes de usuarios de back-end. En la documentación sobre el producto CA ControlMinder se puede obtener
información detallada sobre los pasos de configuración necesarios de cualquiera de estos directorios.
Ilustración L.
Configuración de
CA Enterprise
Management Console
para utilizar LDAP
(Sun One) como un
almacén de usuarios.

22
CA ControlMinder
Sólida autenticación de factores múltiples con tokens RSA SecurID
La interfaz de usuario basada en Web de CA ControlMinder Enterprise Management puede utilizar tokens
RSA SecurID para ofrecer una sólida autenticación.
A continuación, se enumeran los componentes necesarios para esta integración:
• Access Control 12.5 SP4 Enterprise Management que se ejecute con JBoss
• Servidor Web Apache compilado con un módulo proxy
• RSA Authentication Manager
• RSA Authentication Web Agent
• RSA Token Generator
Cuando RSA Authentication Manager ha verificado el usuario, éste puede iniciar sesión automáticamente en
CA ControlMinder Enterprise Management sin tener que proporcionar un ID de usuario ni una contraseña durante
el período de tiempo de espera de la cookie de RSA. En cuanto finaliza el período de tiempo de espera, el usuario
deberá volver a autenticarse con RSA para poder acceder a CA ControlMinder Enterprise Management.
CA ControlMinder Enterprise Management admite a la vez RSA SecurID y otros métodos de autenticación
normales con ID de usuario/contraseña. Si un usuario no se autentica con RSA, puede utilizar un ID de usuario y
una contraseña para acceder a CA ControlMinder Enterprise Management.
Funciones de auditoría sofisticadas y seguras
A menudo, para lograr el cumplimiento es necesario que el usuario lleve a cabo acciones importantes en el
sistema que se controlará y del que se deben demostrar pruebas de cumplimiento en una pista de auditoría.
Para poder abordar de forma eficaz las auditorías de cumplimiento, estos datos también se recopilan de forma
centralizada y se gestionan de forma segura. CA ControlMinder ofrece registros de auditorías independientes que
no pueden modificar los usuarios no autorizados, ni siquiera los administradores de dominios ni del sistema.
CA ControlMinder genera registros de auditorías seguros y fiables que se pueden asociar a los ID verdaderos de los
usuarios para proteger todas las acciones de los recursos (incluso las operaciones subrogadas). Todas las acciones
que el usuario intente realizar que estén relacionadas con una política de acceso quedarán registradas, e incluso
se registrará si se permitió o no que el usuario completara dichas acciones. En caso de que sea necesario llevar
a cabo una investigación, estos datos detallados y precisos de auditorías pueden agilizar el proceso de
identificación del origen y las actividades del atacante.
Completos modos de auditoría
CA ControlMinder ofrece estas tres configuraciones de auditorías:
• Success (Correcto), que genera un evento cada vez que se accede de forma satisfactoria a un recurso auditado.
• Failure (Error), que realiza un seguimiento de todas las denegaciones de acceso y las registra.
• Warning (Advertencia), que genera un registro de auditoría cada vez que se infringe una política de acceso,
aunque CA ControlMinder no deniega el acceso.
23
CA ControlMinder
Se puede definir el modo de auditoría o la combinación de los modos que se deberán aplicar a cada usuario, grupo
o recurso. Por ejemplo, se puede establecer que la auditoría del grupo de los administradores de seguridad y el
nivel general de auditoría de los archivos sea Failure (Error), pero que para los archivos de configuración se
generen eventos de auditoría tanto de Success (Correcto) como de Failure (Error).
Envío de registros
Enviar todos los eventos de acceso relevantes a una única ubicación segura es un requisito esencial para gestionar
de forma eficaz el cumplimiento. CA ControlMinder ofrece la capacidad de enviar y centralizar todos los registros
de control de acceso. De este modo, no sólo se obtiene la ventaja de la consolidación de los registros, sino
también de contar con la disponibilidad e integridad de estos registros en caso de infracción de la red o
comprometimiento del sistema.
Notificación en tiempo real
CA ControlMinder dispone de comunicaciones inmediatas sobre eventos de seguridad que se pueden enviar a
buscapersonas o consolas externas para la resolución de problemas o a otros sistemas de gestión de información.
Autoprotección
Los daemon de auditoría y los propios registros necesitan protección contra atacantes, desconexiones o
alteraciones. Los servicios y registros de auditoría de CA ControlMinder se protegen automáticamente y no se
pueden desconectar ni modificar. De este modo, se consigue que la información esté disponibles y los registros
intactos para las investigaciones que sean necesarias.
Integración de CA User Activity Reporting
CA ControlMinder se integra con CA User Activity Reporting; CA ControlMinder incluye una licencia de CA User
Activity Reporting sólo para recopilar los eventos de CA ControlMinder. Así, los eventos de CA ControlMinder se
envían a CA User Activity Reporting, donde se siguen gestionando. Con ello, se posibilita la adición de archivos de
registros, la correlación con otros eventos del entorno de TI de la empresa y la creación de informes específicos
de políticas. Este aspecto facilita los procesos de auditoría y permite realizar investigaciones y verificaciones
detalladas de las métricas clave de supervisión y auditoría de cumplimiento. Las funciones de CA User Activity
Reporting incluyen también los siguientes elementos:
La recopilación de datos en varias plataformas agrega los datos de eventos de una amplia variedad de fuentes,
como: sistemas operativos, aplicaciones empresariales, dispositivos de red, dispositivos de seguridad, mainframe,
sistemas de control de acceso y servicios Web.
Las herramientas en tiempo real para la recopilación, la visualización y la generación de informes ofrecen
vistas e informes personalizables relacionados con roles de usuarios específicos.
La gestión de alertas filtra y supervisa los eventos más importantes y ejecuta alertas y otras acciones basadas
en políticas establecidas.
El repositorio de datos de seguridad central almacena los datos de auditorías en un repositorio central, creado
en una base de datos relacional escalable y ofrece generación de informes para el análisis de datos históricos.
24
CA ControlMinder
ControlMinder for Virtual Environments
CA ControlMinder for Virtual Environments es una solución única que gestiona el acceso de los usuarios
privilegiados a las máquinas virtuales y los hipervisores; de esta forma, ayuda a las organizaciones a controlar las
acciones de este tipo de usuarios, a proteger el acceso al entorno virtual y a cumplir las directrices del sector.
Proporciona capacidades clave para gestionar las contraseñas de los usuarios privilegiados, reforzar el hipervisor
y auditar la actividad de los usuarios privilegiados.
Principales ventajas
Gracias a su combinación del control del acceso al host y la gestión de usuarios privilegiados, CA ControlMinder
for Virtual Environments puede reducir el riesgo y el coste de estas tareas en los entornos virtuales.
CA ControlMinder for Virtual Environments se ha diseñado para ayudar a su organización a lograr lo siguiente:
• Conseguir el cumplimiento del centro de datos virtual
• Aumentar la visibilidad y el control de su entorno virtual
• Automatizar las operaciones de seguridad y reducir los costes de seguridad
• Agilizar la adopción de la tecnología de virtualización para las aplicaciones importantes
• Crear un entorno seguro de varios clientes
Sección 3: ventajas
CA ControlMinder: una sólida solución para la
gestión de usuarios con privilegios
CA ControlMinder proporciona una solución para ayudar a gestionar y controlar el acceso de los usuarios
con privilegios. Como se ha indicado anteriormente, los tres componentes clave de CA ControlMinder con
los siguientes:
• CA ControlMinder Shared Account Management, para controlar los usuarios con privilegios.
• Refuerzo del servidor del punto final, para mejorar la protección.
• Agente de autenticación de UNIX (UNAB), para la autenticación de usuarios desde un único almacén de usuarios.
Estos componentes se pueden implementar de forma independiente o juntos como una solución general.
El refuerzo del servidor de punto final, UNAB y Shared Account Management de CA ControlMinder comparten la
misma infraestructura de Enterprise Management y generación de informes, un almacén de políticas incrustado,
un marco de gestión de identidades y accesos, un modelo de delegación y especificación y una interfaz de usuario
basada en Web. De este modo, se consigue una rápida implementación y se mejora la rentabilización.
CA ControlMinder aborda todas las preocupaciones sobre disponibilidad de aplicaciones, bases de datos y
servidores mediante la gestión y el control del acceso de los usuarios con privilegios, al tiempo que ofrece la
flexibilidad necesaria para llevar a cabo excepciones locales. Además de todo ello, permite la realización de
auditorías y el establecimiento de responsabilidades. CA ControlMinder le ayuda a conseguir lo siguiente:
• Mitigación de los riesgos
• Regulación y auditoría del acceso de los usuarios con privilegios
25
CA ControlMinder
• Generación de informes y cumplimiento basado en el servidor
• Disminución de la complejidad y los costes de administración
• Eliminación de contraseñas no modificables de scripts, archivos por lotes y aplicaciones ODBC y JDBC
Mitigación de los riesgos
CA ControlMinder reduce los riesgos gracias a la protección de las contraseñas de los usuarios con privilegios y a
la asignación de responsabilidades a los usuarios sobre sus acciones. Así, se consigue reducir el riesgo de que se
utilicen programas de detección de contraseñas para acceder de forma ilegal al servidor o a las aplicaciones,
con lo que también se reducen los peligros y se aumenta la integridad de los datos.
Regulación y auditoría del acceso de los usuarios con privilegios
CA ControlMinder protege los servidores más importantes (físicos y virtuales) mediante la implementación de
políticas de acceso exhaustivo que se basan en el rol del usuario en la organización, con lo que ofrece protección
frente a la pérdida de datos confidenciales. Se realiza un seguimiento de todas las actividades administrativas
hasta llegar al usuario específico, para permitir la separación de funciones al nivel del sistema y poder establecer
responsabilidades en una pista de auditoría.
Generación de informes y cumplimiento basado en el servidor
CA ControlMinder ayuda a proteger los servidores más importantes gracias a su habilidad de crear e implementar
en toda la empresa políticas de acceso específicas que coinciden con los requisitos de cumplimiento normativos
e internos de la organización. Más de 60 informes listos para usar tratan los elementos clave de cumplimiento,
como la separación de funciones y las políticas de derechos y contraseñas, y permiten a las organizaciones
informar de forma proactiva sobre el estado de las principales políticas de cumplimiento. De este modo, se
ofrece visibilidad y establecimiento de responsabilidades de las políticas de seguridad y cumplimiento, al mismo
tiempo que se brinda flexibilidad a la gestión de TI.
Disminución de la complejidad y los costes de administración
Las políticas de acceso de servidores administradas de forma centralizada, las cuentas de usuario, la autenticación
de UNIX y la gestión de contraseñas de usuarios con privilegios son aspectos que alivian la carga de la gestión de
la seguridad en empresas de varias plataformas distribuidas y globales, que sería aún más complicada en un
centro de datos virtuales.
CA ControlMinder ofrece gestión avanzada de políticas para definir una vez las políticas y aplicarlas a los
servidores de cualquier parte del mundo con sólo pulsar un botón. La función Shared Account Management de
CA ControlMinder simplifica el proceso de gestión y distribución de contraseñas de usuarios con privilegios en
tiempo real. La función UNAB de CA ControlMinder puede reducir los costes derivados de la gestión y reforzar la
seguridad mediante la consolidación de almacenes de usuarios y el mantenimiento de una única cuenta para los
usuarios de UNIX.
Eliminación de contraseñas no modificables de scripts, archivos por lotes y aplicaciones
ODBC/JDBC
La función de Shared Account Management de CA ControlMinder elimina la necesidad de incluir en scripts las
contraseñas no modificables de las aplicaciones. La característica de obtención programática de Shared Account
Management recupera de forma dinámica las contraseñas del servidor de CA ControlMinder Shared Account
Management en tiempo real, con lo que se aumenta la eficiencia y la seguridad general de la aplicación y los
datos correspondientes. Esta función contribuye a aliviar la carga de los ciclos de administración de las
aplicaciones y los sistemas de valor, que se encargarían del mantenimiento, la modificación y distribución de
estos cambios de contraseñas.
26
CA ControlMinder
Sección 4: conclusiones
CA ControlMinder ofrece un potente control de los
usuarios con privilegios y aplica el cumplimiento
de la seguridad
CA ControlMinder proporciona un nivel superior de protección del servidor, el dispositivo y las aplicaciones y alivia
la carga administrativa que supone la gestión de la seguridad en los diversos sistemas distribuidos en una
empresa global. Ya no es necesario definir y gestionar los permisos de usuarios privilegiados usuario por usuario
y servidor por servidor. Gracias a la avanzada gestión de políticas, la agrupación en equipos y una interfaz
centralizada basada en funciones de "señalar y hacer clic" para la implementación de políticas corporativas, usted
(y los auditores) podrán tener la seguridad de que cada usuario con privilegios tiene sólo los derechos de los datos
y sistemas necesarios para desempañar sus tareas.
Podrá aplicar políticas de seguridad uniformes en los diversos entornos de servidores gracias a la posibilidad de
compartir cuentas de usuarios, contraseñas y políticas de seguridad en todos los servidores, dispositivos y
aplicaciones gestionados. Para complementar esta característica, CA User Activity Reporting permite recopilar de
forma segura, escalable y fiable información de auditoría para documentar las interacciones de cada usuario con
el sistema.
Con un conjunto tan amplio de plataformas compatibles, escalabilidad empresarial, arquitectura altamente
disponible y un entorno de gestión de políticas flexible, las organizaciones pueden estar seguras de que
CA ControlMinder satisfará sus necesidades de cumplimiento y protección de servidores tanto ahora como en
un futuro.
Parte esencial de toda la solución de gestión de identidades y accesos
CA ControlMinder se puede instalar de forma independiente y ofrece protección completa sin depender de otros
productos de CA Technologies o de terceros. No obstante, todos los productos de la solución CA Identity & Access
Management comparten planteamientos y componentes comunes de la interfaz de usuarios Web, los conceptos
de administración, la delegación de responsabilidades y la generación de informes para garantizar una experiencia
administrativa uniforme.
Puesto que la protección de acceso del sistema operativo puede constituir un único componente de una profunda
estrategia defensiva, CA ControlMinder se puede integrar con los productos de seguridad de CA Technologies,
como CA IdentityMinder™, CA SiteMinder® y CA GovernanceMinder™.
CA IdentityMinder proporciona gestión de todo el ciclo de vida de identidades para poder gestionarlas en toda la
empresa. Entre las funciones de CA IdentityMinder se incluyen las siguientes:
• Aprovisionamiento de usuarios, cuentas y privilegios
• Gestión de solicitudes de cambio y aprobaciones de flujo de trabajo
• Autoservicio de registro y contraseñas
27
CA ControlMinder
CA SiteMinder proporciona control de acceso Web para aplicaciones de extranet. Entre las funciones de
CA SiteMinder se incluyen las siguientes:
• Inicio de sesión único Web
• Gestión de autenticación
• Autorización basada en políticas
• Amplia compatibilidad de servidores y aplicaciones Web
CA GovernanceMinder evalúa, audita y elimina los derechos de acceso de los sistemas y aplicaciones que
contribuyen a definir y certificar los modelos de roles utilizados en la organización. Entre las funciones de
CA GovernanceMinder se incluyen las siguientes:
• Creación de un almacén de identidades centralizado
• Auditoría, definición y verificación de políticas y certificación y corrección de derechos
• Cuadros de mandos e informes de cumplimiento
Para obtener más información acerca de la arquitectura de CA ControlMinder y de su enfoque técnico, visite
ca.com/controlminder
CA Technologies es una empresa de software y soluciones de gestión de TI con
experiencia en todos los entornos, desde el mainframe y los entornos físicos hasta
los virtuales y en la nube. CA Technologies gestiona los entornos de TI y garantiza su
seguridad, lo que permite a los clientes prestar unos servicios de TI más flexibles.
Los innovadores productos y servicios de CA Technologies proporcionan la comprensión
y el control fundamentales para que las organizaciones de TI impulsen la agilidad
empresarial. La mayoría de las empresas que figuran en la lista Global Fortune 500
confían en CA Technologies para gestionar sus ecosistemas de TI en constante
evolución. Para obtener más información, visite el sitio de CA Technologies en ca.com.
Copyright © 2012 CA. Todos los derechos reservados. UNIX es una marca registrada de AT&T. Todas las marcas y nombres comerciales, logotipos
y marcas de servicios a los que se hace referencia en este documento pertenecen a sus respectivas empresas. El propósito de este documento es
meramente informativo. En la medida de lo permitido por la ley vigente, CA proporciona esta documentación “tal cual”, sin garantía de ningún tipo,
incluidas, a título enunciativo y no taxativo, las garantías implícitas de comerciabilidad, adecuación a un fin específico o no incumplimiento. CA no
responderá en ningún caso en los supuestos de demandas por pérdidas o daños, directos o indirectos, que se deriven del uso de esta documentación,
incluidas, a título enunciativo y no taxativo, la pérdida de beneficios, la interrupción de la actividad empresarial, la pérdida del fondo de comercio o la
fuga de datos, incluso cuando CA hubiera podido ser advertida expresamente de dichos daños. CA no proporciona asesoramiento jurídico. Ningún
producto de software al que se hace referencia en la presente documentación se convierte en medio sustitutivo del cumplimiento de ninguna ley
(incluidos, a título enunciativo y no taxativo, cualquier reglamento, estatuto, norma, regulación, directiva, directriz, política, orden administrativa,
decreto, etc. [en conjunto, “leyes”]) a la que se haga referencia en la presente documentación, o de ninguna obligación contractual con terceros.
Se recomienda que recurra al asesoramiento legal competente con respecto a dichas leyes u obligaciones contractuales.
CS2078_0212

Download Report